Windows: Beliebte Anmeldemethode konnte gehackt werden - der Angreifer arbeitet für Microsoft

Laptops haben offenbar ein Sicherheitsproblem. Denn bei gleich drei Geräten ließ sich der Login per Fingerabdruck umgehen. Der Auftraggeber der Angreifer: Microsoft selbst.

Vorsicht beim Laptop-Login. (Quelle: stock.adobe.com - nateejindakum) Vorsicht beim Laptop-Login. (Quelle: stock.adobe.com - nateejindakum)

Was ist die beliebteste Methode, um sich beim Laptop anzumelden? Wer jetzt Passwort sagt, liegt falsch. Denn laut Microsoft nutzt der Großteil der Nutzer, nämlich fast 85 Prozent, zum Anmelden Windows Hello.

Dazu gehört zum einen die häufig verwendete PIN, aber auch biometrische Anmeldemethoden wie Gesichts- oder Fingerabdruck-Scans.

Letztere haben jedoch offenbar ein ordentliches Problem: Sie können gehackt werden. Dass wir das jetzt wissen, hat aber zum Glück nichts mit einem großangelegten Angriff zu tun - sondern verdanken wir Microsoft selbst.

Windows Hello: Microsoft beauftragt Experten mit Hack

Was ist passiert? Der Security-Firma Blackwing Intelligence ist es gelungen, den Fingerabdruck-Sensor bei gleich drei Notebooks verschiedener Hersteller zu umgehen. So konnten sie sich Zugang zum Gerät verschaffen. Dabei haben die Experten im Auftrag der Microsoft-Gruppe MORSE (Microsoft Offensive Research and Security Engineering) gehandelt.

Bei den Notebooks handelt es sich um ein Modell von Microsoft selbst, sowie um zwei weitere Geräte von Lenovo und Dell. Die genauen Modelle lauten wie folgt:

  • Microsoft Surface Pro X
  • Lenovo ThinkPad T14
  • Dell Inspiron 15

Dabei handelt es sich nach eigener Aussage um Modelle mit den drei beliebtesten Fingerabdruck-Sensoren für den Einsatz von Windows Hello. Diese stammen von den Zulieferern Goodix, Synaptics und Elan.

In einem Blogbeitrag und auf der BlueHat-Konferenz von Microsoft beschreiben die Experten, wie sie vorgegangen sind. Dabei kam ein USB-Stick zum Einsatz, mit dem ein sogenannter Man-in-the-Middle-Angriff ausgeführt wurde. Für den Angriff zwingend notwendig war allerdings physischer Zugang zum Notebook.

Empfohlener redaktioneller Inhalt

An dieser Stelle findest du einen externen Inhalt von YouTube, der den Artikel ergänzt.
Du kannst ihn dir mit einem Klick anzeigen lassen und wieder ausblenden.

Ich bin damit einverstanden, dass mir Inhalte von YouTube angezeigt werden.

Personenbezogene Daten können an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Link zum YouTube-Inhalt


Deep-Dive: Bei den drei Sensoren handelt es sich jeweils um Match-in-Chip-Sensoren. In diesen werden Mikroprozessor und Speicher direkt verbaut, wodurch der Fingerabdruck direkt auf dem Sensor abgeglichen werden kann. Das trägt zum Schutz der Privatsphäre des Nutzers bei und ist deshalb für Windows Hello zwingend notwendig.

Es erlaubt aber auch den Angriff durch die Experten. Denn statt den Sensor direkt zu täuschen, gaukeln sie dem Host mit einem manipulierten Sensor vor, dass sich ein Nutzer erfolgreich authentifiziert hätte.

Gegen ein solches Vorgehen hat Microsoft eigentlich eine Schutzmaßnahme eingebaut, die als SDCP (Secure Device Connection Protocol) bezeichnet wird. Das Protokoll soll sicherstellen, dass der Fingerabdruck-Sensor vertrauenswürdig ist und nicht manipuliert wurde. Außerdem soll es die Kommunikation zwischen Sensor und Host schützen.

Das Protokoll sei laut den Experten von Microsoft sicher entwickelt worden. Allerdings sei die Implementierung von SDCP auf den drei Geräten jeweils fehlerhaft gewesen, was den Angreifern schlussendlich den Zugang zum Notebook ermöglichte. Auf zwei der drei getesteten Laptops war das SDCP sogar gänzlich deaktiviert.

MSI Katana 15
VIEL GPU FÜRS GELD
MSI Katana 15
15,6 Zoll, Core i7 und RTX 4070 8GB
Wenn ihr Wert auf viel GPU-Power pro Euro legt, hat MSI etwas für euch: Die RTX 4070 des Katana 15 erlaubt den Dreh am Detailregler. Allerdings ist kein Windows vorinstalliert, hier seid ihr gefragt.
  • Preis-Leistung
  • RTX 4070 und 144 Hz Display
  • Auch sonst gut ausgestattet
  • Laufzeit unter Last
  • Kein (nutzbares) Betriebssystem dabei
1.211 €
Gigabyte G5
DISPLAY MIT 360 HZ
Gigabyte G5
15.6 Zoll, Core i7 und RTX 4060 8GB
Für seine Preisklasse ist das Gigabyte G5 mit flottem Display, solider GPU und modernem WLAN erstaunlich gut ausgestattet. Die CPU mit 6 P-Cores passt gut zur GPU.
  • Runde Mittelklasse-Ausstattung
  • 360 Hz Display perfekt für eSport
  • Modernes WLAN mit WiFi6E
  • Lautstärke unter Last
  • GPU mit nur 75 Watt
999 €899 €
Tulpar T7 V20.6
MÄCHTIG UND GÜNSTIG
Tulpar T7 V20.6
17,3 Zoll, Core i7 und RTX 4060 8GB
Tulpar nutzt, wie auch XMG, Barebone-Systeme asiatischer Hersteller um sie nach eigenen Wünschen zu bestücken. Das Ergebnis ist ein erstaunlich gutes Preis-Leistungs-Verhältnis mit viel Power.
  • Display mit 144 Hz
  • Gute CPU/GPU-Kombination
  • Lautstärke
  • Displayqualität durchschnittlich
1.019 €919 €
MSI Cyborg 15
PREIS-LEISTUNG MIT RTX 4050
MSI Cyborg 15
15,6 Zoll, Core i5 und RTX 4050 6GB
Das MSI Thin GF63 nimmt Anleihen bei älteren Katana-Notebooks und überzeugt mit einer guten Leistung für seine Preisklasse. Das Display fällt aber etwas dunkel aus - nichts für helle Umgebungen.
  • Für den Preis aktuelle GPU-Generation
  • 6 GB Grafikspeicher
  • Display könnte heller sein
  • Recht schwache dedizierte GPU
  • Kleine SSD
944 €

Was bedeutet das für euch? Blackwing Intelligence empfiehlt Herstellern nun, sicherzustellen, dass SDCP auf ihren Geräten aktiviert wurde, und diese von einer dritten Partei testen zu lassen. Bis dahin scheint ein Angriff mit der vorgestellten Methode aber weiterhin in vielen Fällen möglich.

Dass ihr das Ziel eines solchen Angriffes werdet, erscheint eher unwahrscheinlich. Einerseits, weil der Angriff mit einigem Aufwand versehen ist. Andererseits, weil es für den Angriff physischer Zugang zum Notebook braucht.

Wer sich dennoch mit aktiviertem Fingerabdruck-Sensor unsicher fühlt, kann diesen auch problemlos auf dem eigenen Notebook deaktivieren und eine alternative Anmeldemethode verwenden.

Mehr lesen: Sicherheitstipps für Spieler - Accounts und System schützen

Welche Anmeldemethode verwendet ihr für euren Windows-PC oder Windows-Laptop? Seht ihr in dieser Sicherheitslücke ein großes Problem? Und hattet ihr schon einmal ein Sicherheitsproblem mit dem Handy, Laptop oder einem anderen Gerät? Wie habt ihr darauf reagiert? Schreibt es uns in die Kommentare!

zu den Kommentaren (9)

Kommentare(9)
Kommentar-Regeln von GameStar
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.

Nur angemeldete Benutzer können kommentieren und bewerten.